>Иначе возможно атака в которой злоумышленник нажимает на ссылку авторизации, получает код, но не переходит на сайт для обмена кода на токен. Ссылка с кодом отдается жертве, и перейдя по ней, жертва привязывается к учетке злоумышленника. В результате злоумышленник может войти на сайт под видом жертвы.
> Потому что некоторые ресурсы не поддерживают response_type=token.
это какие?
>GET oauth.vk.com/access_token?client_id={client_id}&client_secret={secret_key}& code=7a6fa4dff77a228eeda56603b8f53806c883f011c40b72630bb50df056f6479e52a//полученный в параметрах код
полное несоответствие oauth2 ieft!!! токен должен выпускаться для конкретного redirect_uri и он должен быть параметром для получения тоекна. это банальная csrf дыра, ну что за бред
>sign — трахнутая на все байты md5-подпись
для того и делали https based oauth2 чтобы не париться с подписями. Why, одноклассники? хотя у вас лучше чем у вк.
>1. Здесь OAuth 1.0 и тут всё веселее
да, у твиттера фейл =/
а у яндекса менее гибкое api, хотя статичный redirect_uri неплохое решение
>Егор Хомяков рассказывает про уязвимость в OAuth
уж точно не «уязвимость в OAuth» а в первую очередь Developers Y U NO RTFM и «уязвимость в omniauth». а то потом меня же будут обвинять в дизинформации, как всегда блин =(
вы не уточнили что
Есть индексный файл index.php, в котором простейший код принимает параметр «page» адресной строки (например index.php&page=main) и инклудит в index.php одноименную страничку из папки templates (страничку main)
так делать низя
чем жжот она, простите? тоже стэйт передает вроде без проблем.
хеш в редирект_ури это work around. в будущем redirect_uri будут статичны везде, это очевидно. use state
true story www.youtube.com/watch?v=KRNsaPx7X-M&feature=g-hist
это какие?
>GET oauth.vk.com/access_token?client_id={client_id}&client_secret={secret_key}& code=7a6fa4dff77a228eeda56603b8f53806c883f011c40b72630bb50df056f6479e52a//полученный в параметрах код
полное несоответствие oauth2 ieft!!! токен должен выпускаться для конкретного redirect_uri и он должен быть параметром для получения тоекна. это банальная csrf дыра, ну что за бред
>sign — трахнутая на все байты md5-подпись
для того и делали https based oauth2 чтобы не париться с подписями. Why, одноклассники? хотя у вас лучше чем у вк.
>1. Здесь OAuth 1.0 и тут всё веселее
да, у твиттера фейл =/
а у яндекса менее гибкое api, хотя статичный redirect_uri неплохое решение
не вижу в статье упоминания state :trollface:
но парню(девушке?! хм напиши мне а лучше пошли сразу в загс) определенно респект. чистые лулзы таким вот незамысловатым способом =)
мама, перелогинься
уж точно не «уязвимость в OAuth» а в первую очередь Developers Y U NO RTFM и «уязвимость в omniauth». а то потом меня же будут обвинять в дизинформации, как всегда блин =(
какое метро? александра невского давай )
Есть индексный файл index.php, в котором простейший код принимает параметр «page» адресной строки (например index.php&page=main) и инклудит в index.php одноименную страничку из папки templates (страничку main)
так делать низя